CopyKittens 그룹의 악성코드 캠페인 발견

Experts Unveil Cyber Espionage Attacks by CopyKittens Hackers

최근 보안연구원들이 주로 여러 국가의 정부, 국방 및 학술기관에서 일하는 사람들을  타겟으로 하는 새로운 악성코드 캠페인을 발견하였습니다. 

이번에 발견된 악성코드 캠페인은 이란과 관련있는 그룹의 소행으로 추정됩니다. 

CopyKittens(Rocket Kittens라고도 함)으로 명명 된 이 해킹 그룹은 지난 2013년부터 이스라엘, 사우디아라비아, 터키, 미국, 요르단, 독일의 외교관들, 연구원들을 포함한 조직들, 개인들을 노리기 시작했습니다.

이 조직의 주요 공격 대상은 외무부, 방위산업체, 대형 IT 기업들, 학술 기관, 국방부의 하청업체, 시 당국과 같은 정부 기관들 및 UN 직원들이었습니다.

"Operation Wilted Tulip" 보고서에는 이 해킹 그룹이 사용한 다양한 툴들 및 공격전략, C&C 인프라, 그룹 작업방식 등에 대한 자세한 내용이 포함되어 있습니다. 

CopyKittens가 공격대상을 감염시키는 방법

이 그룹은 공격대상을 성공적으로 감염시키기 위해 워터링 홀 등의 여러가지 공격방식을 사용하였습니다. 

- 공격자가 제어하는 웹사이트로의 악성 링크를 포함한 이메일 전송

- 최근 발견 된 취약점인 CVE-2017-0199를 악용하는 무기화 된 오피스 문서

- 취약점 스캐너 및 Havij, sqlmap, Acunetix와 같은 SQLi 툴을 이용한 웹 서버 악용

- 가짜 소셜 미디어 계정을 만들어 타겟과 신뢰를 쌓은 후 악성 링크 유포

공격대상을 감염시키기 위해 CopyKittens는 Red Team 소프트웨어의 Cobalt Strike, Metasploit, post-exploitation agent Empire, TDTESS 백도어, Mimikatz와 같은 상용 툴과 함께 자신들이 직접 제작한 악성 툴을 사용했습니다. 

Matryoshka라고 명명된 악성코드는 이 그룹이 자체적으로 개발한 악성코드로, C&C 통신을 위한 DNS 를 사용하여 패스워드를 탈취하며, 스크린샷 캡쳐, 키로깅, 파일 수집 및 업로드 등의 악성행위를 하며,  Meterpreter shell을 이용하여 공격자의 접속을 허용합니다. 

Matryoshka는 문서가 첨부 된 스피어피싱을 통해 유포되며, 첨부된 문서에는 악성 매크로가 포함되어 있거나, 실행 파일이 내장되어 있습니다. 

사용자들은 웹 메일 계정의 해킹 사고를 방지하기 위해 이중인증 기능을 활성화 하는 것이 좋습니다.

출처 :

http://thehackernews.com/2017/07/opykittens-cyber-espionage.html

http://www.clearskysec.com/wp-content/uploads/2017/07/Operation_Wilted_Tulip.pdf